|
-
精華
-
0
-
積分
-
2098
|
他是全球發現蘋果漏洞最多的人,他曾窮的住在小黑屋,他常常接到國家安所有門的電話,他差點堵住周鴻禕的路,他是誰?
他是全球發現蘋果漏洞最多的人
他曾窮的住在小黑屋
他常常接到國家安所有門的電話
他差點堵住周鴻禕的路
無名英雄
咱們最終仍是沒有見到吳石本人,即使他的生意合夥人劉盛(化名)已經應承了幫咱們牽線。自打2010年他接受了《福布斯》的專訪以後,這個四川男人就不再願意讓本身曝光。
那篇文章其實還算中肯,「在上月的一次安全更新中,蘋果針對iPhone操做系統發佈了64個新補丁,其中只有6個是蘋果自已的研究人員發現,12個由Google研究人員發現,而另外15個則是由來自中國的吳石發現的。」文中,吳石被稱爲安全界的「無名英雄」。
他拒絕咱們的理由一樣不算過度,在一個剛剛對信息安全有些概念的國家裏,人們尚未足夠的能力去徹底辨別他們的工做和黑客有什麼區別,由於有太多的例子都代表了這兩種工做的界限只是「良心」。
吳石骨子裏就是個「屌絲」,他對商業缺乏概念,他懼怕外界沒必要要的干擾,他只是享受技術帶給他的快感,但這已經成了一種奢求。
一邊是政府,他和他的團隊成員幾乎天天都會接到「國家安所有門」的電話和約訪,就在咱們跟劉盛的採訪過程當中,有幾個小夥子正在跟國安局的人「談事」。「這絕不誇張,大多時候他們都是要買咱們的技術,這些人甚至在極少數的狀況下會透露本身的‘任務’,好比讓咱們去跟蹤某個走私販的行蹤之類的,咱們其實就是被當槍使。」合夥人劉盛稱。而他們又同時是國家安所有門「黑名單」上的人物,對於這羣人,國家老是警戒性很高,他們試圖「招安」每個技術牛人,「但實際上,去到總參等軍隊部門的那些人,最後過得都很差。」
而另外一邊則是「黑色產業」,也就是公衆理解的「黑客」。2005年是個分水嶺,當遊戲產業出現以後,那些研究信息安全的人忽然有了「變現」的通道。盜號,幫公司攻擊競爭對手的服務器,盜取遊戲公司的代碼然後開私服……太多的人在那個時候能夠月入千萬,而諷刺的是,做爲業內大牛的吳石反而正是在那兩年過着居無定所的日子。
他們一直把本身所在的「組織」——Keen 嚴格地定性爲研究機構,一開始,吳石甚至反對加入這個組織,或者說他對中國信息安全的將來已經失望透頂。但劉盛老是勸他,「咱們雖然看不到蛋糕,但你會揉麪,他會生火,咱們能夠先作個饅頭出來,這樣你們都不會走。」
就是這樣一個15人的小團隊,他們一年的收入一千多萬元,這只是黑產那些人一個月的收入。他們靠技術去發現蘋果、谷歌和微軟操做系統中的漏洞,而後以不過高的價格賣給一些公司,還有一個銷量不過高的安全產品。「實際上,咱們這些人中的大部分,都會有公司願意出幾百萬去挖,跟這個比,咱們這個公司作得是太不成功了。」劉盛悻悻地說。
之因此願意接受咱們的採訪,也並非但願經過媒體去銷售更多本身的產品,而是想讓更多有理想的人知道,「仍是有這樣一羣人在作着很純粹的事情,如今找個好苗子,已經太難了。」
異類
吳石是個「異類」,復旦大學數學系畢業以後,這個怪人一直不得志。上世紀末大學畢業以後,他很長一段時間都在作網吧的管理軟件,以後又去了復旦的一個校企,作一種審計軟件。
這並不算是一個體面的工做,他們把軟件給解體了抓取中間的通訊包,而後再反編譯成能記錄的東西。說白了,這就是監控,一些臺灣老闆很喜歡買他們的軟件去監控員工的QQ記錄。那時候,吳石還不算頂級,這是信息安全領域太普通的工做。
而到了2004年,吳石開始顯露天賦。仍是上述的原理,他發現不只僅能夠侷限在軟件商,他甚至研究出了一種新的方法能夠把手機的通訊信號反編譯成語音和短信。實際上,若是他當時把這個技術賣出去,他掙得錢將沒法估量。
但吳石所以一會兒開了竅,2005年,他開始研究微軟的漏洞。這是信息安全領域難度最高的工做,據劉盛介紹,全中國直到如今有能力抓系統漏洞的公司都不超過5個,360在6年的時間裏也只找到了14個。而吳石本身就超過了200 個,一個叫CVE的組織會對全球的技術人員發現的有價值的漏洞編號,在已經登記備案中的漏洞中,吳石是全球最多的。固然,這都是後話。
吳石的「轉行」反而讓他以後兩年的生活窮困潦倒。2007年的一天,當時在微軟供職的劉盛忽然接到美國老闆的電話,「大家認識一個叫吳石的人嗎?」當劉盛找到他時,他已經兩年沒有工做,「住在一個小黑屋裏。」
吳石當時剛剛發現一條謀生的方法,他在2007年一次去北京參加會議的過程當中,偶然據說有美國公司會花錢收購系統漏洞。而實際上還沒等他聯繫,美國ZDI公司就主動聯繫了他。這家公司的一個主要客戶是五角大樓,它號稱比全球任何一家安全廠商都要更快地提供補丁,這使得它不得不在全球花重金向吳石這樣的人購買漏洞和解決方案。這家公司和中國惟一的聯繫就是「華爲收購3Com受阻」這件事,而ZDI就是3Com的子公司,傳言美國政府正是由於這家公司掌握了五角大樓太多的祕密而沒有批准該交易。
微軟爲何看上了吳石?聽聽另一家買漏洞的公司——VeriSign 是如何評價他的,這家公司的東亞區總監周銘說:「咱們有一個評測系統來評判漏洞的商用價值,這跟它的廣泛性、普及性、感染力都有關係,而後再給予數額不一樣的獎金。評測下來,吳石發現的漏洞級別都比較高。另外,這個工做有必定的運氣成分,有的人技術很好,但一生可能只發現1、兩個漏洞,你無法預計本身在多長的時間內能發現漏洞。可是,吳石發現的漏洞的確不少。」但吳石並不十分喜歡跟這家公司打交道,「但他們要求多,要求提供可以成功攻擊的代碼,這還要花費我三四天的時間,他們給的價格也不具備競爭力。」吳石說。
劉盛的老闆注意到這個來自中國的年輕人發現的漏洞,老是有點一反常態,他的邏輯和絕大多數的人並不相同。《福布斯》的那篇文章中有提到這一點,他有一整套獨特的方法論,他能夠關注到整個軟件架構,而不是具體的細節,這使得他經常能捕捉到其餘方法根本觸及不到的漏洞。
而微軟是那時對系統安全最重視的公司。它會在全球花重金(真的是難以想象的錢)僱傭技術牛人,劉盛就是微軟負責信息安全的工做人員,這曾經是微軟至關高級的職位,當時中國也是微軟除美國以外惟一設置信息安全檢測中心的區域市場。但以後一系列的變更改變了一切,微軟負責信息安全的員工有一半去了谷歌,固然這也是後話。
他們約在了上海徐家彙的一家川菜館,爲了促成吳石的加盟,劉盛的老闆專門從美國飛過來。就這樣,吳石成了微軟的外聘專家,這樣的職位在中國只有兩名,他的工資是遠遠高於像劉盛這樣的正式員工的,而就在微軟的平臺上,吳石也開始顯露才華。他不只幫助微軟尋找漏洞,其實他更大的成就來自於蘋果系統,沒過多長時間,他在這個領域的優點已是壓倒性的了。
夾縫
但好日子並不長,360出現之後,一切都開始脫軌,按照劉盛的說法,若是美國總部當時採納他們的意見,微軟不至於這麼被動,而360也很可貴到機會。
當時他們發現了國內流氓軟件的興起,他們第一時間就請求總部利用現成的技術去攔截這些問題軟件,但被總部駁回了。而360從某種程度上正是起家於這一點,「那時咱們都快氣死了,360根本不用作什麼,只要判斷特定的文件名,而後刪除就行了。」劉盛說。微軟今後失去了在安全領域的話語權,這家公司也再也不像以前那樣雄心勃勃。
吳石很失望,他甚至開始懷疑本身專一的事業對於這個社會有多大意義。「用戶的教育成本過高了,不少人和企業並不認爲安全是個重要的事。」劉盛說。
那時安全領域早已被黑色產業給吞噬了,一個個「好苗子」在離開。「一天,我看到一個圈裏的朋友發微博說,‘原來生活是能夠這樣的’,以後就再也不見到他有什麼成果,而沒過多久,他開上了保時捷。」劉盛如今的夥伴可能是來自於微軟的那個團隊,他們在最特殊的階段,由於共同的志向和彼此的互相影響並無「下海」,這在不少人看來,都是難以想象的事情。
吳石最終仍是贊成加入劉盛的商業計劃,他們取名爲「keen」,這個烏托邦式的組織,直到微軟XP退役時,騰訊和包括 keen 在內的幾家公司發起「扎籬笆」計劃時,纔算第一次曝光。
他們如吳石同樣,對商業缺少敏感度,劉盛爲了不受到國家安所有門的「騷擾」,而掛掉了很是多風投的電話,直到別人給他發短信說明來意。但談判徹底不在一個軌道上,「他們老是問咱們的商業模式和預期收益,但這些我該怎麼去回答呢?」
吳石和劉盛仍是但願給國家和社會作些事情,不然他們不必放着更客觀的薪水不賺,而去過着當下並不十分理想的生活。但一切都不如想象中的那麼快,政府天然須要一個過程,而不少意識到信息安全重要性的公司也還摸不清門道,「他們歷來都沒有操縱過一次攻擊,根本就不知道黑客在想什麼。並且他們在接到任務後,直接把工做甩給那些工程師,可想而知結果會怎麼樣。」劉盛說。
劉盛他們想到一些事仍是會很受挫,「咱們在上海想要見一個有關部門的處長都辦不到,想一想其實挺不值的。」 |
|
